Comment mettre en œuvre le Règlement général sur la protection des données (RGPD)

Le règlement général sur la protection des données (RGPD), la loi phare de l'Union européenne sur la confidentialité des données, est entré en vigueur en 2018. Cependant, de nombreuses organisations peinent encore à se conformer aux exigences, et les autorités de protection des données de l'UE n'hésitent pas à infliger des sanctions.

Les entreprises les plus puissantes au monde ne sont pas immunisées contre les difficultés liées au RGPD. L'Irlande a sanctionné Meta d'une amende record de 1,2 milliard d'euros (lien externe à ibm.com)en 2023. Les autorités italiennes enquêtent sur OpenAI (lien externe à ibm.com) pour des soupçons de violations du RGPD, allant même jusqu'à brièvement interdire ChatGPT.

Nombreuses sont les entreprises qui peinent à répondre aux exigences du RGPD, car en plus d’être complexe, ce dernier laisse une marge d'appréciation importante. Le RGPD fixe une longue litanie de règles visant à encadrer le traitement des données personnelles des résidents de l’UE par les entreprises implantées en Europe et en dehors de l’Europe. Il laisse toutefois aux entreprises une certaine marge de manœuvre pour appliquer ces règles.

Le plan de mise en conformité au RGPD d'une organisation variera en fonction des types de données qu'elle collecte et de la manière dont elle les utilise. Toutefois, certaines étapes clés sont applicables à toutes les entreprises lors de la mise en œuvre du RGPD :

• Faire l’inventaire des données personnelles
• Identifier et protéger les données appartenant à des catégories spéciales 
• Réaliser des audits des activités de traitement des données
• Mettre à jour les formulaires de consentement des utilisateurs
• Créer un système de tenue de registres 
• Désigner des responsables de la conformité
• Rédiger une politique de confidentialité des données
• Veiller à la conformité des partenaires tiers
• Élaborer un processus pour évaluer l’impact de la protection des données
• Mettre en place un plan d'intervention en cas de violation des données
• Permettre aux personnes concernées d’exercer leurs droits
• Déployer des mesures de sécurité de l’information

Le RGPD s'applique à toute organisation traitant des données personnelles de résidents européens, quel que soit son lieu d'implantation. Compte tenu de l'interconnexion de l'économie numérique mondiale, cela concerne la majorité des entreprises aujourd'hui. Même les organisations non soumises au RGPD peuvent choisir d'adopter ses exigences afin de renforcer leurs protections des données.

Plus précisément, le RGPD concerne tous les responsables du traitement des données et sous-traitants implantés dans l’Espace économique européen (EEE). L’EEE comprend les 27 États membres de l’UE ainsi que l’Islande, le Liechtenstein et la Norvège. 

Le responsable du traitement est la personne morale (entreprise, group, etc.) ou physique qui collecte des données personnelles et détermine la façon dont elles sont utilisées. Exemple : un commerçant en ligne qui stocke les adresses e-mail de ses clients pour les tenir informés de l’état de leurs commandes.

Un sous-traitant de données est une entreprise ou un organisme qui traite des données. Selon la définition très large donnée par le RGPD, le traitement est toute opération effectuée sur les données (stockage, analyse, modification, etc.). Les sous-traitants sont des tiers qui traitent les données à caractère personnel pour le compte d’un responsable du traitement (par exemple, une entreprise de marketing qui analyse les données des utilisateurs pour aider une entreprise à déterminer les principales caractéristiques démographiques de ses clients).

Le RGPD concerne également les responsables du traitement et les sous-traitants implantés en dehors de l’EEE qui remplissent au moins l’une des conditions suivantes : 

• L’entreprise propose régulièrement des biens et des services aux résidents de l’EEE, même sans transaction financière.
• L’entreprise surveille régulièrement l’activité des résidents de l’EEE, par exemple grâce aux cookies de suivi. 
• L’entreprise traite des données personnelles pour le compte de responsables du traitement des données implantés dans l’EEE. 
• L’entreprise emploie des salariés au sein de l’EEE.

Quelques autres points méritent d’être soulignés en ce qui concerne le champ d’application du GDPR. Tout d’abord, il ne s’intéresse qu’aux données personnelles des personnes physiques, dénommées personnes concernées. Une personne physique est un être humain vivant. Le GDPR ne protège pas les données des personnes morales, comme les sociétés, ni celles des personnes décédées.

Deuxièmement, nul besoin d’être citoyen de l’UE pour être protégé par le RGPD. Il suffit d’être résident de l’EEE.

Enfin, le RGPD encadre le traitement des données personnelles quelle que soit la finalité (commerciale, de recherche, gouvernementale, etc.). Les entreprises, les hôpitaux, les écoles et les pouvoirs publics sont tous soumis au RGPD. Les seules opérations de traitement exemptées du RGPD sont les activités liées à la sécurité nationale et à l’application des lois, ainsi que l’utilisation exclusivement personnelle des données.

Il n'existe pas de plan de conformité RGPD universel, mais certaines pratiques fondamentales peuvent guider les efforts de mise en œuvre du RGPD dans les organisations.

Pour connaître les principales exigences du RGPD, consultez la check-list de conformité au RGPD. 

Faire l’inventaire des données personnelles

Bien que le RGPD n’exige pas explicitement de faire un inventaire des données, bon nombre d’entreprises commencent par là, et ce pour deux raisons. Premièrement, connaître les données dont elle dispose et savoir comment elles sont traitées permet à l’entreprise de mieux comprendre ses obligations en matière de conformité. Par exemple, une entreprise qui collecte des données sur la santé de ses utilisateurs a besoin de protections plus efficaces qu’une entreprise qui collecte uniquement leurs adresses e-mail.

Deuxièmement, un inventaire complet facilite également le respect des demandes des utilisateurs en matière de partage, mise à jour ou suppression de leurs données. 

L’inventaire des données peut regrouper les informations suivantes :

• Types de données collectées (noms d’utilisateur, données de navigation)
• Populations auxquelles appartiennent les données (clients, salariés, étudiants)
• Mode de collecte des données (inscriptions aux événements, pages d’arrivée)
• Où les données sont stockées (serveurs sur site, services cloud)
• L’objectif de la collecte de données (campagnes marketing, analyse comportementale)
• Façon dont les données sont traitées (évaluation automatisée, agrégation)
• Qui a accès aux données (salariés, fournisseurs)
• Mesures de protection en place (chiffrement, authentification à étapes) 

Il peut être difficile de localiser les données personnelles dispersées dans différents workflows, bases de données, points de terminaison et même dans des actifs de shadow IT.actifs informatiques parallèles. Pour rendre la gestion des inventaires de données plus simple, les entreprises peuvent envisager d'utiliser des solutions de protection des données capables de découvrir et de classer automatiquement les données. 

Découvrez comment IBM Guardium Data Protection détecte, classe et protège automatiquement les données sensibles dans les principaux référentiels tels qu’AWS, DBaaS et les mainframes sur site.

Identifier et protéger les données appartenant à des catégories spéciales 

Lors de l’inventaire des données, les entreprises doivent prendre en compte toutes les données particulièrement sensibles, qui nécessitent une protection supplémentaire. Le RGPD impose des précautions supplémentaires pour trois types de données : les données appartenant à des categories particulières, les données relatives aux condamnations pénales et les données des enfants.

• Les catégories particulières comprennent les données biométriques, les données de santé, les données qui révèlent l’origine raciale ou ethnique, ainsi que d’autres types d’informations très personnelles. Pour traiter les catégories particulières de données, les entreprises doivent généralement obtenir le consentement explicite de l’utilisateur. 

• Les données relatives aux condamnations pénales peuvent être contrôlées uniquement par les autorités publiques et traitées selon leurs instructions. 

• Les données des enfants ne peuvent être traitées sans le consentement des parents. Les entreprises doivent mettre en place des mécanismes pour vérifier l’âge des personnes concernées, ainsi que l’identité de leurs parents. Le RGPD laisse aux États de l’EEE la liberté de fixer le seuil d’âge pour définir la notion d’enfant. Cet âge doit toutefois être compris entre 13 et 16 ans. Les entreprises doivent être prêtes à se conformer à ces différentes définitions. 

Réaliser des audits des activités de traitement des données

Au cours de l’inventaire des données, les entreprises enregistrent chaque opération de traitement subie par les données. Ensuite, elles doivent s’assurer que ces opérations répondent aux exigences de traitement du RGPD. Voici quelques-uns des principes les plus importants du RGPD :

• Tout traitement doit être fondé sur une base légale fixée par le RGPD : le traitement des données est acceptable uniquement si l’entreprise dispose d’une base légale approuvée pour ce traitement. Parmi les exemples de bases légales, citons le consentement de l’utilisateur, l’exécution d’un contrat ou encore la mission d’intérêt public. Les entreprises doivent documenter la base légale de chaque opération avant de procéder au traitement.

Pour découvrir la liste complète des bases légales approuvées, consultez la page consacrée à la conformité RGPD.

• Limitation des finalités : les données doivent être collectées et utilisées dans un but clairement défini. 

• Minimisation des données : les entreprises doivent limiter la collecte de données au strict nécessaire pour atteindre l’objectif défini. 

• Exactitude : les entreprises doivent s’assurer que les données qu’elles collectent sont correctes et à jour. 

• Durée de conservation limitée : les entreprises doivent supprimer les données en toute sécurité dès que leur objectif est atteint. 

Pour obtenir une liste complète des principes de traitement du RGPD, consultez la Liste de contrôle de conformité au RGPD.

Mettre à jour les formulaires de consentement des utilisateurs

Le consentement de l’utilisateur est une base légale courante pour le traitement des données. Selon le RGPD, le consentement n’est valide que s’il est libre, exprès et éclairé. Les entreprises doivent veiller à ce que leurs formulaires de consentement répondent à ces exigences.

• Pour garantir que le consentement est éclairé, l'organisation doit expliquer clairement ce qu'elle collecte et comment ces données seront utilisées, au moment de la collecte.

• Pour s’assurer d’un consentement exprès, les entreprises doivent adopter une approche opt-in, selon laquelle les utilisateurs doivent activement cocher une case ou signer une déclaration pour indiquer leur consentement. Les consentements ne peuvent pas non plus être regroupés. Les utilisateurs doivent consentir à chaque activité de traitement individuellement.

• Afin de s'assurer que le consentement est libre, les organisations ne doivent exiger le consentement que pour des activités de traitement des données véritablement indispensables à la prestation d'un service. Autrement dit, une entreprise ne peut pas forcer ses utilisateurs à révéler leurs opinions politiques pour acheter un t-shirt. Les utilisateurs doivent également pouvoir révoquer leur consentement à tout moment.

Créer un système de tenue de registres 

Les entreprises de plus de 250 salariés, ainsi que les entreprises de toute taille qui traitent régulièrement des données ou qui traitent des données à risque élevé, doivent tenir un registre électronique des activités de traitement, qui doit se présenter sous forme écrite. 

Il est toutefois préférable que chaque entreprise conserve un tel registre. Cela permet non seulement de suivre les efforts en matière de sécurité et de protection de la vie privée, mais aussi d’attester de sa conformité en cas d’audit ou de violation. Les entreprises peuvent faire alléger, voire éviter les sanctions si elles sont en mesure de prouver leur bonne foi et leurs efforts en matière de conformité.

Les responsables du traitement ont tout intérêt à faire preuve de rigueur dans la tenue de leur registre, car le RGPD les tient responsables de la conformité de leurs partenaires et fournisseurs. 

Désigner des responsables de la conformité RGPD

Les autorités publiques et les organisations qui effectuent un traitement régulier de données à caractère particulier ou une surveillance à grande échelle sont obligées de désigner un délégué à la protection des données (DPO). Un DPO est un dirigeant indépendant chargé du respect des règles de conformité du RGPD. Les responsabilités courantes comprennent la supervision des évaluations des risques, la formation des employés aux principes de protection des données et la collaboration avec les autorités gouvernementales.

Bien que seules certaines organisations soient tenues de nommer un délégué à la protection des données (DPD), toutes peuvent envisager de le faire afin de faciliter la mise en conformité au RGPD.

Les DPO peuvent être des salariés de l'entreprise ou des consultants externes qui proposent leurs services sur contrat. Les DPO doivent rendre compte directement au plus haut niveau de direction. L'entreprise ne peut pas exercer de représailles contre un DPO dans 'exercice de ses fonctions. 

Les organisations situées en dehors de l'EEE doivent désigner un représentant au sein de l'EEE si elles traitent régulièrement les données de résidents de l'EEE ou des données hautement sensibles. La principale fonction du représentant de l’EEE est de coordonner les autorités de protection des données au nom de l’entreprise lors des enquêtes. Le représentant peut être un employé, une société affiliée ou un prestataire de services. 

Le DPD et le représentant de l'EEE ont des rôles distincts avec des responsabilités différentes. Notamment, le représentant agit sous la direction de l'organisation, tandis que le DPD est un agent indépendant. Une organisation ne peut pas désigner une seule personne (lien externe à ibm.com) pour assumer à la fois les rôles de DPD et de représentant de l'EEE.

Si une organisation opère dans plusieurs États de l’EEE, elle doit identifier une autorité de contrôle principale. L'autorité de contrôle principale est l'autorité de protection des données (DPA) chargée de superviser la conformité RGPD pour cette entreprise dans toute l'Europe. 

Généralement, l'autorité de contrôle principale est le DPA dans l'État membre où l'organisation a son siège ou exerce ses activités de traitement principales. 

Rédiger une politique de confidentialité des données 

Le RGPD oblige les organisations à informer leurs utilisateurs de la manière dont elles utilisent leurs données. Les entreprises peuvent satisfaire à cette exigence en rédigeant des politiques de protection de la vie privée qui décrivent clairement leurs opérations de traitement, y compris ce que l'entreprise collecte, les politiques de conservation et de suppression, les droits de l'utilisateur et d'autres détails pertinents.

Les politiques de confidentialité doivent utiliser un langage clair que tout le monde peut comprendre. Masquer des informations importantes derrière un jargon incompréhensible peut être considéré comme une violation du RGPD. Les organisations peuvent veiller à ce que les utilisateurs voient leurs politiques en partageant des avis de confidentialité au moment de la collecte des données. Les organisations peuvent également publier leurs politiques de confidentialité sur des pages publiques et facilement consultables sur leurs sites Web. 

Veiller à la conformité des partenaires tiers 

Les responsables du traitement sont responsables en dernier ressort des données personnelles qu'ils collectent, y compris de la manière dont leurs sous-traitants, leurs fournisseurs et d'autres tiers les utilisent. En cas de non-conformité de leurs partenaires, les responsables du traitement peuvent être sanctionnés. 

Les organisations doivent passer en revue leurs contrats avec tous les tiers qui ont accès à leurs données. Ces contrats doivent spécifier clairement les droits et responsabilités de toutes les parties concernant le RGPD de manière juridiquement contraignante.

Si une organisation travaille avec des sous-traitants en dehors de l'EEE, ces sous-traitants sont toujours tenus de respecter les exigences du RGPD. De fait, les transferts de données en dehors de l'EEE sont soumis à des normes rigoureuses. Les responsables du traitement dans l'EEE ne peuvent partager des données avec des sous-traitants en dehors de l'EEE que si l'un des critères suivants est satisfait :

• La Commission européenne a considéré que les lois du pays en matière de protection des données personnelles étaient suffisantes
• La Commission européenne a estimé que le sous-traitant disposait d’une protection des données suffisante
• Le responsable du traitement a pris des mesures pour protéger les données

Une manière de garantir que tous les partenariats et transferts de données respectent le RGPD est d'utiliser des clauses contractuelles types. Ces clauses pré-rédigées sont approuvées par la Commission européenne et sont librement disponibles pour toute organisation. L'inclusion de ces clauses dans un contrat le rend conforme au RGPD, à condition que chaque partie les respecte. Pour plus d'informations sur les clauses contractuelles types, consultez le site web de la Commission européenne (lien externe à ibm.com).

Élaborer un processus pour évaluer l’impact de la protection des données

Le RGPD impose aux organisations de mener des analyses d'impact sur la protection des données (AIPD) avant tout traitement à haut risque. Même si le RGPD donne quelques exemples, comme l'utilisation de nouvelles technologies ou le traitement à grande échelle de données sensibles, il n'énumère pas toutes les activités à haut risque.

Les organisations peuvent envisager de réaliser une AIPD avant toute nouvelle opération de traitement par précaution. D'autres peuvent utiliser un processus de pré-évaluation simplifié pour déterminer si le risque est suffisant pour nécessiter une AIPD.

Au minimum, une analyse d'impact relative à la protection des données (DPIA) doit décrire le traitement, son objectif, évaluer la nécessité du traitement, estimer les risques pour les personnes concernées et identifier les mesures d'atténuation. Si, après l'application de mesures d'atténuation, le risque reste élevé, l'organisation doit consulter une autorité de protection des données avant de poursuivre. 

Découvrez comment IBM Guardium Insights peut vous aider à optimiser vos rapports de conformité grâce à des workflows préconfigurés pour le RGPD, le CCPA et d'autres réglementations essentielles.

Mettre en œuvre un plan d'intervention en cas de violation de données  

Les organisations doivent signaler la plupart des violations de données personnelles à une autorité de contrôle dans un délai de 72 heures. Si la violation représente un risque pour les personnes concernées, comme une usurpation d'identité, l'entreprise doit également en informer les personnes concernées. Les notifications doivent être envoyées directement aux victimes, sauf si cela est impossible. Dans ce cas, une notification publique suffit.

Les organisations ont besoin de plans de réponse aux incidents efficaces qui permettent d'identifier rapidement les violations en cours, d'éliminer les menaces et de prévenir les autorités. Les plans de réponse aux incidents doivent comporter des outils et des stratégies pour récupérer les systèmes et rétablir la sécurité de l'information. Plus une organisation reprend rapidement le contrôle, moins elle risque de faire l'objet de sanctions réglementaires graves.

Les organisations peuvent également utiliser cette occasion pour renforcer leurs mesures de sécurité des données. Si une violation de données est peu probable de nuire aux utilisateurs - par exemple, si les données volées sont fortement cryptées et inutilisables pour les pirates - l'entreprise n'est pas tenue de notifier les personnes concernées. Cela peut éviter les conséquences négatives sur la réputation et les revenus qui peuvent résulter d'une violation de données.

Permettre aux personnes concernées d’exercer leurs droits 

Le RGPD octroie aux personnes concernées des droits sur l'utilisation de leurs données par les organisations. Par exemple, le droit de rectification permet aux utilisateurs de rectifier des données inexactes ou obsolètes. Le droit à l'effacement permet aux utilisateurs de supprimer leurs données.

En règle générale, les organisations doivent satisfaire les demandes des personnes concernées dans un délai de 30 jours. Afin de faciliter la gestion des demandes, les organisations peuvent développer des portails en libre-service permettant aux personnes concernées d'accéder à leurs données, de les modifier et d'en limiter l'utilisation. Les portails doivent inclure un moyen de vérifier l’identité des personnes. Le RGPD impose aux organisations la charge de vérifier l'identité des demandeurs.

Décisions automatisées et profilage 

Les personnes concernées ont des droits spéciaux en matière de traitement automatisé. Plus précisément, les organisations ne peuvent pas utiliser l'automatisation pour prendre des décisions importantes sans le consentement de l'utilisateur. Les utilisateurs ont le droit de contester les décisions automatisées et de demander qu'une personne examine la décision. 

Les entreprises peuvent utiliser un portail en libre-service pour permettre aux personnes concernées de contester les décisions automatisées. Les entreprises doivent également être prêtes à désigner des examinateurs, le cas échéants. 

Portabilité des données 

Les personnes concernées ont le droit de déplacer leurs données où elles le désirent, et les organisations doivent faciliter ces transferts. 

En plus de permettre aux utilisateurs de demander des transferts facilement, les organisations doivent stocker les données dans un format partageable. L'utilisation de formats propriétaires peut compliquer les transferts et entraver les droits des utilisateurs. 

Pour obtenir la liste complète des droits des personnes concernées, consultez la page de conformité au RGPD.

Déployer des mesures de sécurité de l’information

Le RGPD impose aux organisations de prendre des mesures de protection des données raisonnables pour fermer les vulnérabilités du système et prévenir les accès non autorisés ou les utilisations illégales. Le RGPD n'impose pas de mesures particulières, mais il précise que les organisations doivent mettre en place des contrôles techniques et organisationnels.

Les contrôles de sécurité techniques englobent des logiciels, du matériel et d'autres outils technologiques, comme des SIEM et des solutions de prévention des pertes de données. Le RGPD encourage fortement le chiffrement et la pseudonymisation, de sorte que les organisations peuvent souhaiter mettre en œuvre ces contrôles en particulier. 

Les mesures organisationnelles comprennent des processus tels que la formation des employés aux règles du RGPD et la mise en œuvre de politiques formelles de gouvernance des données. 

Le RGPD oriente également les entreprises vers l’adoption du principe de protection des données par conception et par défaut. « Par conception » signifie que les entreprises doivent concevoir leurs systèmes et processus avec la protection des données à l'esprit. « Par défaut » signifie que le réglage par défaut de tout système doit être celui qui protège le plus la vie privée des utilisateurs. 

Découvrir comment les solutions de sécurité et de protection des données IBM sécurisent les données dans les clouds hybrides et simplifient les exigences de conformité.

Toute organisation qui souhaite opérer dans l’Espace économique européen (EEE) doit se conformer au RGPD. La non-conformité peut avoir de graves conséquences. Les violations les plus significatives peuvent faire l'objet d'amendes pouvant aller jusqu'à 20 000 000 EUR ou 4 % du chiffre d'affaires mondial de l'organisation au cours de l'année précédente, selon le montant le plus élevé.

Mais la conformité des données va bien au-delà de l'évitement des sanctions. Cela présente également des avantages. Non seulement la conformité au RGPD permet aux organisations d'accéder à l'un des plus grands marchés mondiaux, mais elle peut également renforcer considérablement les mesures de sécurité des données. Les organisations peuvent prévenir davantage de violations de données, en évitant ainsi un coût moyen de 4,45 millions USD par violation.

La conformité au RGPD peut également améliorer la réputation d'une entreprise et renforcer la confiance des consommateurs. Les gens préfèrent généralement faire des affaires avec des organisations qui protègent efficacement les données de leurs clients (lien externe à ibm.com).

Le RGPD a inspiré des lois similaires sur la protection des données dans d'autres régions, notamment le California Consumer Privacy Act aux États-Unis et le Digital Personal Data Protection Act en Inde. Le RGPD est souvent considéré comme l'une des lois les plus strictes dans ce domaine. Par conséquent, s'y conformer peut aider les organisations à se conformer à d'autres réglementations.

Enfin, si une entreprise ne respecte pas le RGPD, démontrer un certain niveau de conformité peut aider à réduire les conséquences. Les organismes de réglementation tiennent compte de facteurs tels que les contrôles de cybersécurité existants et la coopération avec les autorités de contrôle lors de la détermination des sanctions.